ニュース
» 2015年02月20日 08時00分 公開

銀行に期待した「常時SSL」 その後……萩原栄幸の情報セキュリティ相談室(2/2 ページ)

[萩原栄幸,ITmedia]
前のページへ 1|2       

メガバンクでは?

 筆者がこの調査をしようとした時、SSLに詳しい専門家から情報をいただいた。それは、みずほ銀行のTOPページにHTTPSを指定してアクセスすると、次のメッセージが表示されるというものだ。

ブックマーク(お気に入り)の登録変更をお願いします

目的のページにアクセスするには、アドレスバーの「https://www.mizuhobank.co.jp/〜」を「http://www.mizuhobank.co.jp/〜」に修正し(httpsの”s”を削除)、エンターキーを押してください。https://www.mizuhobank.co.jp/〜は2014年11月27日よりご利用いただけなくなりました。

https://www.mizuhobank.co.jp/〜でブックマーク(お気に入り)に登録されているお客さまは、http://www.mizuhobank.co.jp/〜に登録先の変更をお願いします(httpsの”s”を削除してください)。


 どうやら、「HTTPSをHTTPに直して入ってください」ということである。ある意味、これは親切(HTTPSに対応していないという案内をしてくれる)と思えるが、このメッセージを米国やドイツの友人に見せたところ、「とても日本的だね、しかし誤解されてしまうよね」という。筆者もそう感じてしまうのだが……。

 なお、三菱東京UFJ銀行も三井住友銀行もTOPページはHTTPSに対応していない。三菱東京UFJ銀行では「この Webサイトのセキュリティ証明書には問題があります」、三井住友銀行では「指定されたURLは存在しませんでした」と、いずれもエラー表示だけしかない。

HTTPSでアクセスした時の三菱東京UFJ銀行のTOPページ
HTTPSでアクセスした時の三井住友銀行のTOPページ

 メガバンクはネット専用銀行ではないが、それぞれ独自にネットバンキングのセキュリティ強化策を講じているから、TOPページはHTTPSには未対応なのかもしれない。

 みずほ銀行の対応は、正しいURLに導いている点がいかにも日本人らしい気遣いだと善意に解釈できる。ただ、セキュリティに詳しくない利用者がこのメッセージを見ると、いかにも「HTTPの方が『安全』」という誤った知識を持ってしまうのではないかという不安を感じるし、もっと別の表現を使うべきではとも思う。みずほ銀行からコメントをいただいたので紹介する。

みずほフィナンシャルグループ

「調査によって当行のWebページを閲覧される大半のお客様がHTTPである状況が判明しております。HTTPは一般的な情報提供の手段として様々なWebサイトで広く行われており、安全性において極めて問題があるものではないと判断しております。また、他行においても同様であるケースが多い(HTTPS未対応)と認識しております。当行としては情報の重要度に基づいて適切なセキュリティ対策を講じるようにしております。重要情報の送受信が伴うサービスなどについては引き続きSSLによる暗号化通信を行い、安全性を確保しております」

 このため、一般に提供する情報の範囲ではHTTPとし、HTTPSでアクセスした閲覧者にはその旨をお知らせして、「HTTPS」から「HTTP」への変更をお願いしているとのことだ。


 常時SSLに対する各銀行の見解をまとめてみると、「今はまだその時期ではない」と考えているようだ。「HTTP=危険」「HTTPS=安全」という議論はやや乱暴だが、“同じ条件”であるなら、Googleの言う危険性があるのも事実である。

 筆者が一番に心配するのは、Googleが予告通りに「HTTPは安全でない」と具体的に明示するようになった場合だ。最も困るのが金融機関であるのは間違いない。Googleで銀行を検索すると、「このサイトは安全ではありません」という表示やマークが出るのは不本意だと感じるからである。だからこそ、いまのうちにSSL化の方向で検討し、国際的にも利用者が満足するWebサイトをぜひ構築してほしい。そして、この動きが加速することを切に願っているのだ。

萩原栄幸

日本セキュリティ・マネジメント学会常任理事、「先端技術・情報犯罪とセキュリティ研究会」主査。社団法人コンピュータソフトウェア著作権協会技術顧問、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少(当時)で合格。2008年6月まで三菱東京UFJ銀行に勤務、実験室「テクノ巣」の責任者を務める。

組織内部犯罪やネット犯罪、コンプライアンス、情報セキュリティ、クラウド、スマホ、BYODなどをテーマに講演、執筆、コンサルティングと幅広く活躍中。「個人情報はこうして盗まれる」(KK ベストセラーズ)や「デジタル・フォレンジック辞典」(日科技連出版)など著書多数。

関連キーワード

銀行 | HTTPS | SSL | Google | ネット銀行


前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ